Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Dark Archon <mif_dark_archon@xxxxxxx>
- Date: 30 Apr 2007 03:59:15 -0700
On 27 Apr., 12:22, "Juergen P. Meier" <nospam-2...@xxxxxxxx> wrote:
Dark Archon <mif_dark_arc...@xxxxxxx>:
erstmal vielen Dank für deine Erläuterungen. Eine Frage bleibt jedoch
noch. Wenn ich mit ttcpw eine TCP Session aufbaue, diese aber aus weiß
der Geier was für Gründen jetzt nicht mit dem TCP RST beendet,
schreibt die Firewall doch nur den Eintrag verspätet ins log, oder
garnicht ? Weil mir das schon reichen würde, wenn dann da drinsteht,
Verspaetet. Bei Firewalls hat alles einen Timeout.
beispielsweise beim Test von TCP Port 1234 das 1 Paket durchgekommen
ist (Wäre ja das SYN Paket). Damit hätte ich ja die Connectivität
bewiesen, denn was reinkommt, kann auch rauskommen. Oder ?
Ja. Da du bei Checkpoint immer nur die Verbindungsaufbaurichtung per
Regel regelst, kommen Antworten dann automatisch durch sofern das SYN
am Server ankommt.
Na gut, noch ne winzige Frage :
Wie meintest du das mit FTP und co, wieso kann ich die nicht
verifizieren ? Das IDS schaut doch zunächst in den Header ob der Port
freigeschaltet ist. Wenn das der Fall ist wird doch erst der Inhalt
gecheckt. Okey, wenn da jemand nen ICMP Paket in einen TCP-FTP Frame
verpackt, klar das IDS das erkennt. Aber theoretisch sollte doch
später Problemlos auch Daten übermittelt werden können, sofern das
Protokoll nicht geblockt wird.
FTP besteht aus mehr als einer TCP Verbindung. Die Datenverbindungen
erlaubt eine Checkpoint nur, wenn sie vorher im Steuerkanal
ausgehandelt wurde, und dann auch nur zum ausgehandelten Port.
Bei IPerf brauch ich nur die Bandbreite testen, das reicht schon. Man
hat mir hier gesagt, dass ich den Server vermutlich nichtmal kitzeln
kann, mit der Testhardware die ich habe. Und einen größeren Lasttest
benötigen wir nicht.
He He. Wenn du ihn mal mit Gigabit/sec Traffic in kleinen paketen
"kitzelst" wird selbst fette Serverhardware schwach ;)
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Hallo zusammen,
erstmal danke an euch 3 Spezialisten... Ihr habt mir echt super
weitergeholfen, zumindest in der theorie ;)
Meine Testumgebung ist bestellt, wenn es dann nicht klappt komm ich
nochmal auf euch zurück.
@ Juergen
Dir nochmal meinen besonderen Dank für die Hilfe und das anschauliche
erklären. Ob ich den Server kitzeln konnte oder nicht, ich werds
testen und dann mal posten *g*
Danke !
Gruß
Fabian
.
- References:
- Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: mif_dark_archon
- Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Thorsten Dahm
- Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Juergen P. Meier
- Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Dark Archon
- Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Juergen P. Meier
- Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Dark Archon
- Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- From: Juergen P. Meier
- Checkpoint Firewallregelwerk testen trotz Smart Defense
- Prev by Date: Re: Paketfilter unter VMware
- Previous by thread: Re: Checkpoint Firewallregelwerk testen trotz Smart Defense
- Next by thread: Unvollständige TCP Sessions aus Tracefile entfernen ?
- Index(es):
Relevant Pages
|
